请教大家一个关于ACL的问题,迷惑不解

stone_ming

我们这里有3个VLAN，分别为VLAN1，VLAN2，VLAN3，都在CISCO3550上（3层）划分，我们要求VLAN2，VLAN3都可以访问VLAN1，但是VLAN2和VLAN3之间不可以互相访问，VLAN1都可以访问VLAN2，VLAN3。VLAN1，VLAN2，VLAN3的网关地址分别为10.1.1.254/24,10.1.2.254/24,10.1.3.254/24,VLAN2，VLAN3对应接口分别为fa0/2,fa0/3,我做的ACL如下：\r\nswitch(config)#access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255\r\nswitch(config)#access-list 102 deny ip any any\r\nswitch(config)#access-list 103 permit ip 10.1.3.0 0.0.0.255 10.1.1.0 0.0.0.255\r\nswitch(config)#access-list 103 deny ip any any \r\nswitch(config)#int fa0/2\r\nswitch(config-if)#ip access-group 102 in\r\nswitch(config)#int fa0/3\r\nswitch(config-if)#ip access-group 103 in\r\n这样做了以后能够实现我们的需求，但是有个问题就是每个VLAN2，VLAN3内的机器不能PING通它的网关地址，例如VLAN2内的机器不能PING通10.1.2.254/24.\r\n我弄不明白这是怎么回事，请各位工程师指教！

aicoa

网关位置在哪儿？\r\n给个拓扑吧。

stone_ming

网关都在cisco3550上，即VLAN的接口地址，而VLAN的机器通过楼层交换机接到3550上面来。\r\n我做了配置以后，VLAN内的机器能互访，只是出现我说的那个问题。

qhmoon

我不知道我是否说对了，请参考：\r\n你的102是对入站数据进行检查，对10.1.2.0网段的放行到10.1.1.0，其余的全部阻止。那么你的VLAN2的机就不可能PING能你的网关。因为你的VLAN2的机是10.1.2.X到10.1.2.254，这正好符合102的第二条规定，阻止。

webfox

我想你的意思只是想把vlan2和vlan3之间不能访问而已，其它都可以访问。那么你只需要deny掉vlan2或者vlan3其中一个ip包就可以，因为ip包是双向的，只要deny一个另一个也可以阻止访问了。\r\n你可以试试这样：\r\naccess-list 101 deny ip 10.1.2.0 0.0.0.255 any\r\naccess-list 101 permit ip any any\r\nint vlan3\r\nip access-group 101 out\r\n这样，其实就是在vlan3上阻止vlan2的ip包从交换机到pc的方向。vlan2和vlan3的访问，ip包是需要双向才可以正常访问到的，所以只需要禁止一个方向的就可以了。你试一试吧。

stone_ming

webfox,我知道你这种方法是可以实现，我也做了实验，但是我在实际应用当中至少有6个VLAN ，这样的话写ACL就会相对比较麻烦，所以我主要是想要大家帮我解释同一VLAN内的机器不能PING通网关的原因。\r\n\r\nQHMOON：\r\n我认为你的观点不对，因为我已经做了实验，VLAN2内的机器能够互相通，而10。1。2。254同样是一个网段内的地址，所以应该不存在这个问题。